Configurazione di rete per PCI-DSS C-VT

3

Non sono sicuro se sia meglio qui sulla sicurezza delle informazioni o su serverfault o Network Engineering.

Abbiamo una società che prende gli ordini telefonici per telefono utilizzando un terminale virtuale. PCI-DSS 3.2 dice che per questo è permesso:

Merchant accesses the PCI DSS-compliant virtual terminal solution via a computer that is isolated in a single location and is not connected to other locations or systems within the merchant environment;

e poi nel questionario:

1.2. Do firewall and router configurations restrict connections between untrusted networks and any system in the cardholder data environment as follows: Note: An “untrusted network” is any network that is external to the networks belonging to the entity under review, and/or which is out of the entity’s ability to control or manage.

(a) Is inbound and outbound traffic restricted to that which is necessary for the cardholder data environment?  Review firewall and router configuration standards  Examine firewall and router configurations

(b) Is all other inbound and outbound traffic specifically denied (for example by using an explicit “deny all” or an implicit deny after allow statement)?

Ciò significa che la macchina su cui vengono immesse le informazioni della carta di credito deve essere completamente isolata da tutto il resto della rete nella sua interezza, usando il firewall o un vlan? Ciò causerebbe un problema reale in quanto devono anche accedere a una macchina centrale per condividere file per altri lavori di assistenza clienti e un server SQL interno.

Sto leggendo troppo in questo, e che l'accesso alle risorse centrali sarebbe di fatto a posto - ma altre macchine non di servizio clienti dovrebbero essere bloccate? Grazie in anticipo

    
posta Jeff 16.03.2018 - 13:43
fonte

1 risposta

1

Il computer deve essere separato dal resto dell'ambiente utilizzando un firewall basato su host o un firewall di rete con regole definite come descritto nel Requisito 1. Ecco alcuni aspetti da considerare:

  • Regole in uscita: in genere la workstation può avviare connessioni in uscita alla condivisione di file o al server SQL.
  • Regole in entrata: qui è dove si sta segmentando la workstation, che è l'ambiente dei dati dei titolari di carta, da sistemi non CDE. Vorresti regole di ingresso molto rigide con una regola di Nega tutto finale.
  • Sistemi connessi: qualsiasi macchina o dispositivo che si connette alla workstation sarà considerato come sistema connesso. Sistemi come controller di dominio, server di patching, server antivirus, ecc. Che forniscono servizi alla workstation sono generalmente considerati sistemi connessi. I sistemi connessi devono essere protetti con gli standard PCI perché possono fornire un percorso nel CDE. I sistemi connessi dovrebbero essere considerati nell'ambito per una valutazione. Per ulteriori informazioni sui sistemi collegati, consulta Strumento di rilevamento PCI .

Per ulteriori informazioni sulle workstation come un CDE, vedi Come si applica PCI DSS a singoli PC o workstation e Che cos'è SAQ C-VT . Come indicato nella FAQ "Che cos'è SAQ C-VT", i commercianti che utilizzano soluzioni di terminali virtuali dovrebbero consultarsi con il loro acquirente (merchant bank). "

    
risposta data 16.03.2018 - 16:17
fonte

Leggi altre domande sui tag